Durchgang verboten

Inhaltsverzeichnis

Vier einfache Konfigurationsschritte genügen, um Schwarz-Surfer aus einem WLAN auszusperren. Doch die meisten Hersteller wählen falsche Voreinstellungen und verbergen die Schalter vor den Anwendern.

Mit den weit verbreiteten WLAN-Routern aus dem Billig-Segment lässt sich kein virtueller Hochsicherheitstrakt bauen; doch der muss für ein Heimnetzwerk auch gar nicht sein. Schon vier einfache Konfigurationsschritte errichten eine ausreichende Barrikade gegen Schwarz-Surfer, Gelegenheits-Cracker und Skript-Kiddies. Hacker mit mehr technischem Wissen finden darin zwar noch Lücken; doch um sich hindurchzuzwängen, müssen sie Zeit und Mühe aufwenden. Bei einem Heimnetzwerk stimmt dann die Kosten-Nutzen-Rechnung nicht mehr. Denn nur um an eine MP3-Sammlung oder die letzten Urlaubsbilder eines unbekannten Menschen zu kommen, lohnt sich keine stundenlange Hacking-Session. Und an der Genugtuung, einen Billig-Router aus dem Elektromarkt überwunden zu haben, ziehen sich böse Buben wohl nur einmal hoch.

Sicherheit von Anfang an

Sicherheit beginnt mit der Auswahl eines Routers, der sich überhaupt korrekt konfigurieren lässt. Daher stehen sowohl Patzer als auch gute Ideen bei den Schutzfunktionen seit jeher im Fokus von Tests in unserer Schwesterpublikation c't. Darüber hinaus lohnt es sich, die Modellbezeichnung des Wunsch-Routers in eine Internet-Suchmaschine einzutippen. Gelegentlich finden sich so Hinweise auf Sicherheitslücken und Fehlfunktionen.

Nach der ersten Konfiguration bleibt sicher leider nicht für immer sicher. Wer einen Router betreibt, sollte regelmäßig auf den Support-Seiten des Herstellers und über eine Suchmaschine nach Firmware-Updates und neu erkannten Sicherheitslücken suchen.

Alle aktuellen Heim-Gateways bieten zur Konfiguration einen integrierten Web-Server. Wie man einen Client konfiguriert und per Browser bis zur Einstiegsseite gelangt, steht in der beiliegenden Anleitung.

Der Einrichtungsassistent, den die Router dann im Browser präsentieren, fragt die Grundkonfiguration zum Internetzugang meist recht komfortabel ab. Doch nur wenige Geräte erzwingen an dieser Stelle die erste der vier Grundeinstellungen: ein sicheres Passwort für die Konfigurationsseiten.

Passwort setzen

Denn der Router selbst stellt ein lohnenden Ziel dar; schließlich enthält er die Provider-Zugangsdaten, die zum Missbrauch verlocken. Außerdem erhöht keine der anderen Maßnahmen die WLAN-Sicherheit, wenn ein Angreifer sich einfach beim Router anmelden und sie wieder abschalten kann.

Zur Konfiguration sollte man möglichst eine kabelgebundene Verbindung benutzen, denn sonst besteht eine geringe Gefahr, dass zufällig ein Einbrecher mitlauscht und damit auch das neue Passwort erfährt.

Ein gutes Router-Passwort besteht aus mindestens acht Ziffern und Buchstaben in gemischter Groß- und Kleinschreibung. Sonderzeichen und Umlaute sind oft problematisch, da die Browser-Skripte mancher Router sie nicht korrekt kodieren. Das Passwort darf nicht in Namenslisten oder Wörterbüchern auftauchen, da die üblichen Cracker-Tools solche Wortlisten zuerst durchprobieren. Geburtstage und angehängte Ziffern helfen da auch nicht viel.

Die beste Wahl ist eine zufällige Zeichenfolge. Einfach willenlos auf die Tastatur einzuhacken liefert aber nicht genug Zufall, da man dabei die Buchstaben häufiger erwischt, die direkt unter den Fingern liegen. Wer sich nicht kreativ genug fühlt, um selbst eine Zufallskombination zu erfinden, benutzt einen Passwort-Generator, etwa aus unserem Software-Verzeichnis.

Da man die Router-Konfiguration nur selten ändert, braucht das Passwort auch nicht leicht zu merken sein; ein Zettel in der Schreibtischschublade oder ein Passwort-Safe-Programm taugt als Gedächtnisersatz. Manche Router kennen mehrere Benutzernamen, zum Beispiel einen "admin" und einen "user". Bei keinem dieser Accounts darf das Standard-Passwort stehen bleiben.

Um zu prüfen, ob das Default-Kennwort deaktiviert ist, schließt man zunächst alle Browser-Fenster, öffnet dann ein neues und versucht sich beim Router anzumelden. Das darf nur noch mit dem sicheren Passwort gelingen.

Fernkonfiguration aus

Die zweite Lücke, die es zu schließen gilt, ist die Fernkonfiguration über das Internet, in englischen Konfigurationsseiten meist "Remote Management" genannt. Wer diese Funktion nicht dringend braucht, um den beim Schwiegervater aufgestellten Router über das Internet zu warten, schaltet sie ab. Denn ein Bösewicht kann sie nutzen, um über längere Zeit alle denkbaren Konfigurationspasswörter auszuprobieren. Manche Router lassen sich sogar ohne Kenntnis des Passworts über die Fernkonfiguration vom Netz trennen, da ihre Login-Seiten Fehler enthalten.

Um zu prüfen, ob die Fernkonfiguration wirklich aus ist, greift man über einen anderen Internet-Zugang darauf zu. Wer keine ISDN-Karte mehr hat, um sich parallel zum Router-Anschluss einzuwählen, bemüht einen Freund oder den Nachbarn.

Bei der Gelegenheit kann man auch gleich einen Port-Scanner wie nmap auf den eigenen Router loslassen, um nach eventuell im Internet sichtbaren Diensten zu suchen.

WLAN verschlüsseln

Die WLAN-Verschlüsselung hat eine doppelte Funktion: Sie verbirgt die übertragenen Daten und lässt nur diejenigen ins Netzwerk, die den Schlüssel kennen. Die erste ist für Heimanwender weniger wichtig, denn welche Internet-Seiten der legale Anwender regelmäßig anschaut, interessiert einen Mit-Surfer nicht. Und Kreditkartendaten gibt man ja ohnehin nur in Formulare ein, die per HTTPS gesichert sind. Doch zur Zugangssicherung sollte jeder die Verschlüsselung aktivieren.

Daher ist der dritte Schritt gegen ungebetene Mit-Surfer die Verschlüsselung des Funknetzwerks. Zwei Verfahren stehen zur Auswahl: "Wi-Fi Protected Access" (WPA) sowie das ältere und weiter verbreitete "Wired Equivalent Privacy" (WEP). Dieser Name hat sich inzwischen als Euphemismus herausgestellt, denn WEP ist keineswegs genauso abhörsicher wie eine Kabelverbindung. Die im Standard festgelegte Implementierung des eigentlich wasserdichten RC4-Algorithmus enthält einen Fehler, der die Möglichkeit zum Knacken einer gesicherten Verbindung schafft.

Allerdings braucht ein Angreifer dafür Zeit und Glück, denn er kann den Schlüssel nur aus ganz bestimmten Datenpaketen berechnen. Von solchen angreifbaren Paketen muss er viele hundert mitschneiden. In einem maximal ausgelasteten Funknetzwerk dauerte das im c't-Labor mindestens eine halbe Stunde. Das bedeutet, dass ein Angreifer bei realistischer Funknetznutzung normalerweise mehrere Stunden vor dem Haus hocken muss, um genügend Pakete zu sammeln - wenn er überhaupt Erfolg hat, denn gelegentlich reichen auch mehrere Tage WLAN-Protokoll nicht, um den Schlüssel zu brechen.

Mehr Erfolg verspricht eine Wörterbuch-Attacke, bei der ein Programm einfach die wahrscheinlichen Schlüssel durchprobiert, also alle Einträge aus Wörterbüchern, aber auch mögliche Geburtsdaten und verbreitete (Kose-)Namen. Dem Bösewicht reicht ein einziges mitgeschnittenes Datenpaket, auf das er gemütlich daheim die Cracker-Tools loslässt. Wenn die den Schlüssel finden, kehrt er am nächsten Tag zurück und ist "drin".

Daher muss der WEP-Schlüssel wie ein Passwort mit Bedacht gewählt werden. Fast alle Router erlauben die Eingabe als hexadezimale Zahl oder als ASCII-String, der derselben Bytefolge entspricht. Über die hexadezimale Darstellung lassen sich alle Schlüssel eingeben, auch solche, die nicht darstellbare ASCII-Zeichen enthalten. Daher ist sie besser geeignet als die ASCII-Darstellung.

Die Schlüssel bestehen immer aus 24 Bit weniger, als der Name des jeweiligen WEP-Verfahrens suggeriert, also 40 Bit bei WEP64 und 104 Bit bei WEP128. Für je vier Bit steht eine hexadezimale Ziffer aus dem Bereich 0 bis 9 und A bis F. Kombinationen der sechs Buchstaben, die mehr oder weniger sinnvolle Wörter ergeben (DEADBABE12), sind tabu, da ein Angriffsprogramm die wenigen Möglichkeiten in Sekundenbruchteilen durchprobiert.

Auch zum Erzeugen von WEP-Schlüsseln stellen wir ein kleines VB-Skript zur Verfügung, das Pseudo-Zufallszahlen benutzt. Wer selten an seinem Netzwerk herumkonfiguriert, speichert den WEP-Key in demselben Passwort-Safe wie das Konfigurationspasswort.

Den Schlüssel trägt der Administrator in das Feld der WEP-Konfigurationsseite im Router ein. Denselben Schlüssel muss er dann auch allen Clients bekannt machen.

Unter Windows findet sich das Eingabefeld in den "Eigenschaften" der "drahtlosen Netzwerkverbindung" auf dem Reiter "Drahtlose Netzwerke" in den Eigenschaften des jeweiligen Netzwerkes. Wenn sich das Notebook gerade in der Reichweite des WLAN befindet, kann man den Schlüssel auch im Dialog "Drahtlose Netzwerkverbindung" eintragen, den ein Rechtsklick auf das Netzwerksymbol in der Taskleiste über den Menüeintrag "Verfügbare drahtlose Netzwerke anzeigen" öffnet. Einen "Netzwerkschlüssel", der aus der passenden Zahl von hexadezimalen Ziffern besteht, interpretiert Windows automatisch richtig. Gelegentlich stellt das System dann zwar eine Verbindung zum WLAN her, bezieht aber die Adressdaten nicht vom DHCP-Server. Dann hilft ein Klick auf den Knopf "Reparieren" auf dem Reiter "Netzwerkunterstützung" im Status-Dialog der Netzwerkverbindung.

Unter Mac OS X legt man das WLAN am besten über den Eintrag "Andere" im AirPort-Status-Menü in der Menüleiste an. Nur dann bietet das Betriebssystem in einem Drop-Down-Menü verschiedene Typen für das "Kennwort" an, unter anderem zwei Hex-Varianten. Sollte der AirPort-Status in der Menüleiste fehlen, aktiviert man ihn im Netzwerk-Applet der Systemeinstellungen.

Unter Linux hängen Ort und Format der Schlüsseleingabe von der Distribution ab, meist findet sie sich bei den Einstellungen der einzelnen Netzwerkkarten. Das einschlägige Kommandozeilen-Tool heißt iwconfig und nur root darf damit Einstellungen ändern. In der Regel genügt der Aufruf "iwconfig Interface essid ESSID key Schlüssel". Das Interface ist je nach Distribution und Hardware-Ausstattung zum Beispiel eth0, eth1 oder wlan0. Der ESSID (Extended Service Set Identifier) heißt anderswo Netzwerkname und den Schlüssel gibt root in hexadezimaler Schreibweise an.

Um zu prüfen, ob die Verschlüsselung korrekt konfiguriert ist, versucht man zunächst, sich ohne Schlüssel ins WLAN einzubuchen, was nicht gelingen darf. Anschließend steht ein Versuch mit Schlüssel an; nun muss ein Ping auf die Adresse des Routers funktionieren.

Auch WEP bringt keine absolute Sicherheit, stellt aber eine ausreichende Abwehr gegen Gelegenheits-Schwarzsurfer dar - und zwar schon als WEP64 mit 40 Bit langen Schlüsseln. Dennoch ist es sinnvoll, die längsten Schlüssel zu konfigurieren, die der Router und alle verwendeten Notebook-Karten miteinander nutzen können. Obwohl auch WEP128 standardisiert ist und sich alle aktuellen Komponenten damit schmücken, sprechen gelegentlich die Funkmodule verschiedener Hersteller nicht miteinander.

WEP256 mit längeren Schlüsseln ist zwar kein Bestandteil der WLAN-Standards, sondern eine Hersteller-spezifische Erweiterung. Doch wenn alle Funkstationen es unterstützen, sollte man es durchaus einsetzen.

WPA

Moderne Access Points und WLAN-Karten beherrschen als Alternative zu WEP das Sicherungsprotokoll WPA (Wi-Fi Protected Access). Es räumt die bekannten Schwächen von WEP aus und ist daher nach aktuellem Kenntnisstand nur gegen Wörterbuch-Attacken oder krudes Ausprobieren aller Schlüssel anfällig. Wenn alle Stationen im WLAN damit zurechtkommen, ist WPA die erste Wahl.

Anders als WEP trennt WPA die Anmeldung am Netzwerk und die Verschlüsselung. Der Verwalter trägt ein Netzwerkkennwort im Router und im Client ein, das zur Authentifizierung dient. Dieser Modus heißt WPA-PSK (Pre-Shared Key).

Der Key entspricht nicht den Regeln für den WEP-Schlüssel, sondern ist ein normales Passwort. Er sollte also so lang wie möglich und aus allen Zeichen gemischt sein, die das Web-Interface des Routers korrekt überträgt.

Das Verschlüsselungsverfahren wählt der Admin unabhängig von der Anmeldung aus; als schnellstes und sicherstes gilt derzeit AES (Advanced Encryption Standard), allerdings unterstützen es nicht alle Geräte. Die weiter verbreitete brauchbare Alternative heißt TKIP (Temporal Key Integrity Protocol) und benutzt eine verbesserte Implementierung von RC4. WPA kann zur Verschlüsselung zwar auch auf WEP zurückgreifen, was wegen dessen Anfälligkeit jedoch nicht zu empfehlen ist.

Windows XP braucht für WPA das Service Pack 1 sowie einen Patch, der sich über Microsofts Update-Seite installieren lässt. Danach taucht es im Konfigurationsdialog für das drahtlose Netzwerk als "WPA-PSK" auf.

Mac OS X unterstützt WPA ab Version 10.3 mit der AirPort-Software ab 3.2 (ab 3.3 für AirPort Extreme). Dann erscheint es automatisch in dem oben erwähnten Menü zur Auswahl eines Verschlüsselungstyps für das Funknetz.

Unter Linux kommt bislang nur der kommerzielle WLAN-Treiber driverloader mit WPA zurecht, indem er den Windows-Treiber nachlädt. Details zur Einrichtung stehen in der mitgelieferten Dokumentation.

Um zu testen, ob WPA korrekt konfiguriert ist, versucht man wie bei WEP eine WLAN-Anmeldung ohne Verschlüsselung (darf nicht gelingen) und eine mit. Dabei kann sich durchaus herausstellen, dass die beiden Funkpartner trotz korrekter Konfiguration nicht miteinander kommunizieren wollen; WPA ist zwar genau definiert, doch mit der Interoperabilität zwischen Geräten verschiedener Hersteller hapert es gelegentlich noch.

Geschwindigkeit

Mit einem Vorurteil muss aufgeräumt werden: Die Verschlüsselung per WEP oder WPA mit AES bringt keine Performance-Einbuße mit sich. Klartext-Pakete transportieren genauso viele Nutzdaten wie verschlüsselte; ein Vorteil für offene Netze könnte also allenfalls aus der Rechenzeit für die Kodierung entstehen.

Bei unseren Messungen zeigen sich zwar gelegentlich Unterschiede, die liegen aber innerhalb der Messunsicherheit. Oft liefert ein gesichertes Netzwerk sogar bessere Werte als ein unsicheres. Wenn sich ein Mensch oder eine andere absorbierende Wasseransammlung während der Übertragung durch die Funkstrecke bewegt, ist der Performance-Einfluss deutlich größer.

In WLAN-Tests geben wir die Geschwindigkeit grundsätzlich bei der sichersten unterstützen Verschlüsselung an. Geräte, denen c't eine gute Performance attestiert, erreichen diese also im gesicherten Modus.

Wer extrem schlechte Komponenten mit zu geringer Rechenleistung erwischt hat, bei denen er systematisch eine deutlich geringere Performance mit Verschlüsselung feststellt, sollte versuchen, sie umzutauschen. Wenn im Datenblatt eine WLAN-Geschwindigkeit und Unterstützung für Verschlüsselung angegeben sind, kann man wohl erwarten, dass beides gleichzeitig erfüllt ist. Allerdings ist diese Ansicht noch nicht vor Gericht erprobt, man sollte den Umtausch also lieber über freundliche Verhandlungen und die Kulanz des Händlers versuchen.

802.1x abschalten

Über das Protokoll IEEE 802.1x versorgt der Access Point die Clients automatisch mit dem WEP- oder WPA-Schlüssel - normalerweise nach einer Authentifizierung. Wenn man das WLAN in einem großen Netzwerk mit RADIUS-Servern und Logins für alle User betreibt, ist das eine sehr sinnvolle und sichere Angelegenheit. Doch wer hat schon einen RADIUS-Server daheim?

Viele Billig-Router geben den Schlüssel trotzdem per 802.1x heraus, und zwar ohne jede Zugangskontrolle. Jeder dahergelaufene Mit-Surfer erhält den Schlüssel frei Haus - Ende der Zugangskontrolle.

Wenn der Router also eine 802.1x-Einstellung hat, die gelegentlich auch "Automatic Key Distribution" oder ähnlich heißt, sollte der Admin sie als vierten Schritt der Grundsicherung deaktivieren.

Um den Erfolg zu kontrollieren, wählt er in den Eigenschaften der "Drahtlosen Netzwerkverbindung" im Konfigurationsdialog des aktuellen Netzes den Punkt "Schlüssel wird automatisch bereitgestellt" aus. Daraufhin werden die Eingabefelder für den Schlüssel deaktiviert und die Funkverbindung darf nicht mehr zu Stande kommen.

Weitere Stolpersteine

Die vier grundlegenden Konfigurationsschritte schließen eilige Einbrecher und normale Schnorrer aus dem WLAN aus. Ein mit WPA und einem guten Passwort gesichertes Netz ist nach dem Stand der Technik sogar einbruchsicher.

Angreifer mit technischem Wissen und Geduld können jedoch in ein WEP-verschlüsseltes WLAN eindringen. Auch die weiteren Security-Einstellungen in üblichen WLAN-Routern können sie umgehen. Allerdings kostet jede zusätzliche Sperre wieder Zeit und Mühe - mit etwas Glück gibt der Einbrecher entnervt auf, bevor er alle geknackt hat. Doch die meisten dieser Fallstricke bedeuten auch für die legalen Nutzer etwas weniger Komfort.

[einrueckung]Mindestschutz für WLAN-Router[/einrueckung] Sicheres Konfigurationspasswort setzen Fernkonfiguration abschalten WLAN-Verschlüsselung aktivieren 802.1x abschalten

In der Grundeinstellung posaunen Access Points ihren Netzwerknamen (den ESSID) regelmäßig in die Welt. Wenn man diesen "ESSID Broadcast" abschaltet, finden einfache Such-Tools wie Netstumbler das WLAN nicht mehr. Allerdings reichen dann auch für legale Surfer die Windows-Bordmittel nicht aus, um sich anzumelden, da als "verfügbare Netze" nur diejenigen mit ESSID-Broadcast erscheinen. Oft bietet jedoch das zur Karte gehörige Tool vom Hersteller die Option, sich trotzdem mit dem versteckten WLAN zu verbinden.

Mit einigen Hersteller-Tools lassen sich außerdem für die einzelnen Clients verschiedene der vier im Router ablegbaren WEP-Keys auswählen. Die vier Einträge müssen auf dem Access Point und allen Clients gleich lauten; dann wählt man per Index denjenigen Key aus, den die Station zum Senden benutzt. Dadurch verringert sich der Datenverkehr, der mit demselben Schlüssel kodiert ist, und damit die Chance für den Lauscher, schwache Pakete für den direkten Angriff auf WEP zu finden.

In einem MAC-Filter (auch Access Control List, ACL), trägt der Admin die Hardware-Adressen der Stationen ein, die das Netzwerk benutzen dürfen. Als erste gehört dorthinein die MAC des zur Konfiguration benutzten Rechners. Unter Windows zeigt der Befehl "ipconfig /all" die Hardware-Adressen aller Netzwerkkarten an, unter Linux und Mac OS X der Befehl "/sbin/ifconfig".

Leider funktioniert dieser Filter bei vielen Routern nicht richtig, trägt die falschen Adressen ein oder verweigert auch freigegebenen Stationen den Weg ins Netz. Dem steht nur ein mittelmäßiger Sicherheitsgewinn gegenüber, denn ein gewiefter Cracker kann aus dem legalen Datenverkehr auf die zugelassenen MACs schließen und seine Karte auf eine davon umkonfigurieren.

Den WEP-Modus von "Open System" auf "Shared Key" umzustellen erhöht die Sicherheit nicht, sondern bringt nur Probleme mit manchen Geräten, die diesen Modus nicht korrekt unterstützen.

An manchen Access Points kann der Verwalter die Sendeleistung variieren. Weniger Leistung bedeutet weniger Reichweite, also geringere Chancen für Schnüffler und Zufallsentdecker.

DHCP

Wenn ein Mit-Surfer trotz allem den Kontakt zum Funknetzwerk hergestellt hat, braucht er die passende IP-Konfiguration. Normalerweise liefert sie ihm per DHCP frei Haus. Wenn der Admin diesen Server abschaltet, muss der Einbrecher auch diese Daten mühsam aus dem legalen Datenverkehr oder durch Ausprobieren herausfinden. Das lässt sich etwas weiter erschweren, indem man ungewöhnliche Netzwerkadressen benutzt, also entweder 192.168.x.y mit einer anderen Zahl als 0,1 oder 2 für x, oder gleich aus den ebenfalls für private Netzwerke vorgesehenen Adressbereichen 10.x.y.z oder 172.16.x.y. Andere Adressen sind tabu, da sie eventuell wirklich für einen Server oder für Spezialanwendungen wie Mulitcast stehen, die dann nicht mehr funktionieren.

Ohne DHCP-Server teilt der Admin jedem Client in den Netzwerkeinstellungen eine freie Adresse aus dem gewählten Bereich zu. Als Standard-Gateway und DNS-Server trägt er die interne Adresse des Routers ein.

Auch die Router-Konfiguration lässt sich etwas besser schützen, wenn man "Universal Plug and Play" (UPnP) deaktiviert und den Zugang zum Browser-Interface auf eine einzelne MAC einschränkt, sofern der Router dies unterstützt.

Wenn alle Sicherheitseinstellungen erledigt sind und das Funknetz zur Zufriedenheit funktioniert, sichert man das Ergebnis der Mühen in eine Datei. Doch Vorsicht: Diese Datei gehört nicht auf die Festplatte, da sie Passwörter und Keys enthält. Auf einer Diskette oder auf einem USB-Stick in der Schreibtischschublade ist sie selbst dann sicher aufgehoben, wenn ein Cracker Zugang zum Konfigurations-PC erlangt.

Um auch Angreifer mit tiefem technischem Verständnis fern zu halten, reichen Ein-Klick-Lösungen nicht aus. Stattdessen sind professionelle Netzwerkkomponenten und erhebliches Security-Know-How erforderlich. Wer interessante Daten zu schützen hat - beispielsweise Patientenakten oder Firmengeheimnisse -, kommt um die Investition in taugliche Sicherheitskomponenten und in einen professionellen Netzwerkadministrator nicht herum. Kleine Firmen ohne IT-Abteilung müssen dazu eventuell einen Dienstleister beauftragen. (je) ()